Salut, deschid acest topic aici, deoarece pot filtra oarecum persoanele care au acces la informatia asta. Probabil sunt printre voi persoane care lucreaza in firme pe pozitii de IT Security - Team Leader, si as avea nevoie de parerile voastre / sfaturi / idei, etc.
Nu stiu cat de practicata este monitorizarea de tip RAT in Romania, dar banuiesc ca firmele au o solutie cumparata sau creata pentru acest scop. Multe firme au sisteme gen CISCO AMP sau alte aplicatii instalate pe toate PC-urile si sunt intr-un fel legate la un dashboard unde au acces putine persoane, o alta metoda ar fi Heavy Forwarder / Sysmon / alte aplicatii de colectare a logurilor trimitand mai departe datele catre Splunk sau alt SOC tool. Ok, nu am nici-o problema cu asta, mi se pare corect.
Partea mai putin stiuta sau stiuta este ca unele firme au RAT-uri bine ascunse pe toate PC-urile, in cazul in care device-ul este pierdut/furat sa se poata sterge/cripta datele, dar aici intervine iresponsabilitatea persoanelor care se ocupa de monitorizare folosind accesul in scopuri mai putin placute pentru "userii de rand", pe scurt screen monitoring in timp real.
Sunt multe persoane in firma care se logheaza pe e-mail-uri private sau retele de socializare, si habar n-au la ce se expun, sa nu mai zic ca atunci cand se lucreaza remote, cel care are acces poate scana intreaga retea, obtine acces la alte informatii, spoofing / sniffing, etc.
Acum sa trec direct la subiect, m-am angajat la o firma de aproximativ 3 luni ca Security Analyst (Austria), din prima zi am stiut ca sunt monitorizat (screen monitoring) pentru ca am facut un pentest pe aplicatia care o folosesc ei, gasisem vulnerabilitati de tip CSRF prin care se putea sterge acces-ul (one click), IDOR, XSS, etc. Stiam simptomele, gen unul dintre monitoare devenea instant negru (fara imagine), coolerele PC-ului se accelerau, cursorul mouse-ului se misca lent, castile incepeau sa zica "activated" (sunt un model care prin miscarea microfonul sus/jos se activeaza, lafel si prin Webex - buton). Infine am fost 100% sigur ca ma spioneaza, dar am zis... ba ii las poate isi vor da ei seama ca eu stiu, dar nu s-a intamplat asa. Dupa 2 luni mi s-a facut monitorul negru, stresat/obosit fiind am deschis Notepad-ul si le-am scris: "Nu vad imaginea!!!", dupa vreo 4 minute apare manager-ul in birou parand speriat/nervos, crezand ca o sa zic tuturor angajatilor despre asta. Ok, mai trec cateva zile la un team building, i-am spus despre asta incercand sa nu auda ceilalti, dar nu a recunoscut, am enervat si am zis: "Ok, multumesc mult pentru discutie. Ma simt mult mai bine acum!", acum el a mers in concediu team leader-ul si-a pus gasca sa ma spioneze iar, m-am simtit stresat si i-am trimis e-mail CEO-ului daca pot aranja o convorbire cu el, m-a sunat dupa vreo 5m minute de cand am trimis e-mail-ul. I-am zis si lui despre ce e vorba, sustinand ca pot sa-i las sa-mi verifice laptop-ul fizic, adica le ofer acces fizic si ca nu-mi convine ca cineva sa ma monitorizeze fara permisiunea mea. El mai departa a zis unui alt manager (cu o functie mai inalta sa vorbeasca cu mine) bun, m-am intalnit cu el am vorbit, a zis ca este posibil ca pe langa aplicatiile legale sa fie si un altfel de monitorizare si ca putem rezolva cand se intoare manager-ul mai mic din concediu. Dupa asta m-au spionat iar...
Vreau sa mentionez ca motivul pentru care cred eu ca ma spioneaza este defapt o intrebare care i-am pus-o din pura curiozitate team leader-ului: "Daca au Splunk Use Case pentru AMSI bypass". Poate aici am gresit eu tinand cont, ca noi romanii nu avem o reputatie prea buna ca sa zic asa. Dar daca o iau pe latura cealalta, daca iti e frica de ceva ce nu sti, nu meriti pozitia aia.
As putea sa blochez porturile, sa izolez procesul, sa gasesc dashboard-ul RAT-ului... dar asta cred ca mi-ar face probleme. Daca i-as da in judecata mi-ar trebuii dovezi si aici e o tema sensibila pentru ca ce-i care vor judeca cazul nu cred ca sunt suficient de pregatit in cat sa afle adevarul fara ajutorul meu.
Legea de aici spune ca au voie sa monitorizeze cu o anumita limita si fara date GPS, nu au voie screen monitoring doar cu un motiv foarte bine intemeiat.
Ce as putea sa fac in situatia asta? Se merita sa adun dovezi si sa inaintez un proces tinand cont de costuri, etc? Nu cred ca as reusi sa adunc dovezi fara sa fiu detectat...
Voi a-ti trecut prin asta, se practica si in Romania? A inaintat cineva un proces cu o tema asemanatoare? Voi ce a-ti face in cazul meu?
Poate topicul asta ajuta persoane care sunt intr-o situatie asemanatoare.
// Greseli gramaticale din cauza auto-corectului!